ในตัวกฎหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ที่จะมีผลบังคับใช้ในปีหน้า และบังคับใช้กับทุกองค์กรที่เก็บข้อมูลลูกค้า ไม่ใช่เพียงแค่เรื่องไอทีเท่านั้นนะครับดังนั้นจึงเป็นสิ่งสำคัญที่ทุกภาคส่วนในองค์กรต้องปฏิบัติตามกฎหมาย และคำนึงถึงทุกๆ ด้านของแผนกต่าง ๆ ในองค์กรที่มีส่วนเกี่ยวข้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลด้วย‍

"ทำไม PDPA จึงเป็นมากกว่าเรื่องของ IT"

ในระดับองค์กรกฎหมาย PDPA จะเข้าไปสัมผัสทุกแง่มุมทุกแผนกที่มีการเก็บ และใช้ข้อมูลส่วนบุคคล มันเป็นสิ่งที่สำคัญที่ต้องเริ่มปฎิบัติตาม ก่อนที่จะเริ่มบังคับใช้จริงในปีหน้านะครับสรุปแล้วองค์กร หรือบริษัทที่รวบรวม และประมวลผลข้อมูลส่วนบุคคล ใช้ข้อมูลส่วนบุคคลในการทำการตลาด ไม่ว่าจะเก็บข้อมูลไว้ใน Server หรือบนกระดาษก็ตามครับ

หมายเหตุ หากว่าองค์กรเก็บข้อมูลที่สามารถระบุตัวตนได้ ข้อมูลถือว่าเป็นทรัพย์สินที่มีค่ามาก ๆ ขององค์กร เลยครับ และมีความเสี่ยงที่จะจะทำให้บริษัทเสียหายหากว่าใช้ไม่ระวัง หรือถูกโจรกรรมข้อมูลส่วนบุคคล

แผนกไหนบ้างที่ได้รับผลกระทบจาก PDPA

1.ทรัพยากรมนุษย์ (Human resources)  

"ข้อมูลพนักงานก็ถือว่าเป็นข้อมูลส่วนบุคคลนะครับ"

แผนก HR ควรจัดการเข้ามาทำงานใหม่ และการลาออกของพนักงานให้กับองค์กรเพื่อให้มั่นใจว่ามีการจัดการข้อมูลเริ่มต้นใหม่อย่างถูกต้องสัญญาว่าจ้าง จัดอบรมให้พนักงานเกี่ยวกับการตระหนักรู้ถึงความรับผิดชอบในการจัดการข้อมูลเป็นสินทรัพย์ HR อาจต้องได้รับความยินยอมจากพนักงานในการขออนุญาตให้ประมวลผลข้อมูลสำหรับการจ่ายเงินเดือน ซึ่งตรงนี้จะต้องทำให้พวกเขามั่นใจว่าจะไม่ถูกนำไปใช้ในทางที่ผิด

2. ฝ่ายการฝึกอบรม (Training Department)

"ข้อมูลที่เกี่ยวกับการฝึกอบรมที่มีข้อมูลพนักงานก็ถือเป็นข้อมูลส่วนบุคคลเช่นเดียวครับ"

การศึกษาอย่างต่อเนื่อง และการฝึกอบรมพนักงานเพื่อให้แน่ใจว่าพวกเขาเข้าใจว่าข้อมูลสามารถ และไม่สามารถจัดการได้ สิ่งนี้ต้องรวมข้อมูลเกี่ยวกับสิ่งที่ต้องเกี่ยวกับการใช้งาน และการจัดการกับข้อมูลส่วนบุคคล ซึ่งในแผนกนี้ข้อมูลของพนักงานภายในที่ฝึกอบรม หรือเรียนรู้ Core Knowledge ในองค์กรจะต้องถูกเก็บไว้อย่างถูกต้อง และปลอดภัยเช่นเดียวกัน

3. การจัดซื้อจัดจ้าง (Procurement)

"ชื่อบุคคลที่อยู่ในสัญญาจัดซื้อจัดจ้างเป็นข้อมูลส่วนบุคคล"

ฝ่ายจัดซื้อจัดจ้างควรตรวจสอบให้แน่ใจว่าบุคคลที่สาม (Third Party) ที่นำข้อมูลส่วนบุคคลมาใช้ในการประมวลผลข้อมูลเป็นไปตามสัญญาว่าข้อมูลได้รับการคุ้มครองไม่แบ่งปันกับผู้อื่น และมีการส่งผ่านเฉพาะข้อมูลที่จำเป็นเท่านั้น หากสูญเสียข้อมูลที่ได้รับการโจมตีจาก ransomware หรือสงสัยว่าระบบของพวกเขาถูกบุกรุกระบบเกิดขึ้น เราจะสื่อสารฐานะ Data Controller ได้อย่างไร? และถ้าหากจ้าง IT จากภายนอกผู้ให้บริการจะมีกระบวนการและระบบที่ถูกต้องเพื่อจัดการข้อมูลของคุณอย่างปลอดภัยหรือไม่?

4. ฝ่ายปฎิบัติการ (Operation)

"เป็นฟันเฟื่องที่สำคัญที่จะทำให้ Comply พรบ. คุ้มครองข้อมูลส่วนบุคคลง่ายขึ้น"

ในส่วนของฝ่ายปฎิบัติการ (Operation) จะเป็นกลไลที่สำคัญ และเกี่ยวกับกับทุกแผนกที่มีความเกี่ยวข้องกับข้อมูลส่วนบุคคลไม่ว่าจะเป็นข้อมูลภายในหรือว่าภายนอก ดังนั้นการทำ Compliance Checklist จะช่วยทำให้ติดตามแผนกอื่น ๆ ว่าทำตามกฎหมาย PDPA ถึงไหนแล้ว อีกทั้งยังต้องมีการออกแบบแผนผังการไหลของข้อมูล (Data Mapping) ที่ง่ายต่อการให้แผนกอื่น ๆ เข้ามาอัพเดทข้อมูล และเป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

5. การตลาด และการขาย (Marketing & Sale)

"สื่อสาร และสร้างความเชื่อมั่นให้แก่ลูกค้าว่าข้อมูลส่วนบุคคลที่เก็บไว้จะปลอดภัย และ Comply PDPA"

ในส่วนพนักงานที่ทำงานเกี่ยวกับการตลาดจะเป็นส่วนหน้าด่านแรกในการขอความยินยอมเก็บข้อมูลส่วนบุคคลลูกค้า ไม่ว่าจะเป็นช่องทางไหน และสร้างความมั่นใจว่าข้อมูลส่วนตัวที่องค์กรเก็บไว้ ปฎิบัติตาม PDPA

นอกจากนี้ การทำลายข้อมูลส่วนบุคคลก็เป็นสิ่งที่สำคัญเช่นเดียวกัน ต้องทำแน่ใจว่าข้อมูลที่ถูกทำลายเป็นอย่างถูกต้อง

พออ่านมีถึงตรงนี้จะรู้ว่าจริง ๆ แล้วกฎหมาย พรบ. ข้อมูลส่วนบุคคลไม่ใช่เรื่องของคน IT เท่านั้นนะครับมันเป็นสิ่งที่เกี่ยวข้องทุก ๆ คนในองค์กรที่เก็บ และใช้ข้อมูลส่วนบุคคล ซึ่งถ้าคนใดคนนึงเก็บ หรือใช้ข้อมูลส่วนบุคคลไม่ถูกต้อง ถึงแม้ว่าจะ Comply PDPA แต่สามารถทำให้เกิดความเสียหายเป็นจำนวนมหาศาลได้หากว่าเกิดเหตุการณ์ข้อมูลรั่วไหลขึ้นมานะครับ

“ เราช่วยแบ่งเบาภาระในการทำ PDPA
เพียงเรียนรู้เทคนิคดี ๆ กับ PDPA with Word & Excel